我正在設計我的第一個GAE應用程序,顯然需要使用HTTPS的登錄功能(不能發送我的用戶的UID和密碼在明文!)。谷歌應用程序引擎和HTTPS戰略
但是我對第一次登錄後如何處理請求感到困惑/緊張。我看到它的方式,我有2種策略:
- 使用HTTPS的一切
- 從HTTPS(用於登錄)爲純OLE」 HTTP
第一個選項是更安全的切換回來,但可能會導致性能開銷(?)並可能通過屋頂發送我的服務帳單。第二種選擇更快,更容易,但不太安全。
這裏的另一個因素是,這將是一個「單頁的應用程序」(使用GWT),以及UI的某些部分將能夠接受支付,並要求財務數據的安全傳輸。所以一些AJAX請求可能是是HTTP,但是其他必須是是HTTPS。
那麼請問:
- GAE有一個漂亮的表解釋呼入/呼出的帶寬資源,但從來沒有具體規定多少I/O帶寬可專用於HTTPS。有人知道這裏的限制嗎?我打算使用「帳單已啓用」併爲應用付費(併爲更高的資源限制)。
- 是否有可能有一個GWT /單頁應用程序的一部分用戶界面使用HTTP而其他人使用HTTPS?或者是「全部或全部」?
- 是否有任何real性能被偷聽到利用全HTTPS策略?
瞭解這些將幫助我在HTTP/S混合解決方案或純HTTPS解決方案之間做出決定。提前致謝!
謝謝@Daniel Kurka(+1) - 儘管如此。我注意到GMail使用HTTPS進行登錄,然後恢復爲HTTP(這首先讓我瞭解了這個想法!)有什麼特別的理由說明爲什麼GMail可以這樣做,但不是「正常」的應用程序?再次感謝! – IAmYourFaja 2012-08-11 14:35:36
以及我的Gmail帳戶不這樣做,但我認爲我已經看到了這種非常容易攻擊的行爲 – 2012-08-12 08:18:13